Krytyczna luka w WP Maps Pro umożliwiająca przejęcie konta administratora
Krytyczna luka w WP Maps Pro umożliwia nieautoryzowane tworzenie kont administratora i przejęcie witryny WordPress. Zalecane szybkie aktualizacje i audyt bezpieczeństwa.
- CVSS
- 9.8 CRITICAL
- EPSS
- 94.83%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka WP Maps Pro dla WordPressa do wersji 6.1.0 zawiera krytyczną lukę pozwalającą na eskalację uprawnień poprzez tworzenie konta administratora bez uwierzytelnienia. Luka wynika z niewłaściwej ochrony akcji AJAX, co umożliwia atakującemu pełne przejęcie witryny.
Wpływ biznesowy
Eksploatacja tej luki pozwala nieautoryzowanym osobom na utworzenie konta administratora i pełne przejęcie kontroli nad stroną WordPress. Może to skutkować utratą danych, defacementem strony, a także wykorzystaniem zasobów serwera do dalszych ataków lub rozprzestrzeniania złośliwego oprogramowania. Organizacje korzystające z WP Maps Pro powinny traktować tę lukę jako krytyczną i priorytetowo podejść do jej usunięcia.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki WP Maps Pro i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do funkcji AJAX wtyczki, przeanalizować logi pod kątem podejrzanych aktywności oraz rozważyć tymczasowe wyłączenie wtyczki. Dodatkowo warto przeprowadzić audyt kont użytkowników w WordPressie i usunąć nieautoryzowane konta administratorów.